(Bloomberg) – V epizodi, ki poudarja ranljivost globalnih računalniških omrežij, so se hekerji dokopali do poverilnic za prijavo v podatkovne centre v Aziji, ki jih uporabljajo nekatera največja svetovna podjetja, kar je potencialno bogastvo za vohunjenje ali sabotažo, poroča raziskovalno podjetje za kibernetsko varnost. .
Najbolj brano iz Bloomberga
Prej neprijavljeni predpomnilniki podatkov vključujejo e-poštna sporočila in gesla za spletna mesta za podporo strankam za dva največja operaterja podatkovnih centrov v Aziji: GDS Holdings Ltd. s sedežem v Šanghaju in ST Telemedia Global Data Centres s sedežem v Singapurju, poroča Resecurity Inc., ki zagotavlja storitve kibernetske varnosti in preiskuje hekerje. Prizadetih je bilo približno 2,000 strank GDS in STT GDC. Hekerji so se prijavili v račune vsaj petih od njih, vključno z glavno kitajsko platformo za trgovanje z devizami in dolgovi ter štirimi drugimi iz Indije, poroča Resecurity, ki pravi, da se je infiltrirala v hekersko skupino.
Ni jasno, kaj - če sploh kaj - so hekerji naredili z drugimi prijavami. Informacije so vključevale poverilnice v različnih številkah za nekatera največja podjetja na svetu, vključno z Alibaba Group Holding Ltd., Amazon.com Inc., Apple Inc., BMW AG, Goldman Sachs Group Inc., Huawei Technologies Co., Microsoft Corp. in Walmart Inc., glede na varnostno podjetje in na stotine strani dokumentov, ki jih je Bloomberg pregledal.
V odgovoru na vprašanja o ugotovitvah Resecurity je GDS v izjavi dejal, da je prišlo do vdora v spletno stran za podporo strankam leta 2021. Ni jasno, kako so hekerji pridobili podatke STT GDC. To podjetje je dejalo, da ni našlo nobenega dokaza, da je bil tistega leta ogrožen njegov portal za pomoč strankam. Obe podjetji sta dejali, da lažne poverilnice ne predstavljajo tveganja za IT sisteme ali podatke strank.
Vendar pa so varnostni in vodstveni delavci v štirih večjih prizadetih podjetjih s sedežem v ZDA dejali, da ukradene poverilnice predstavljajo nenavadno in resno nevarnost, predvsem zato, ker spletna mesta za podporo uporabnikom nadzorujejo, komu je dovoljen fizični dostop do opreme IT, nameščene v podatkovnih centrih. Tisti vodstveni delavci, ki so za incidente izvedeli iz Bloomberg News in so informacije potrdili s svojimi varnostnimi ekipami, ki so želeli ostati neimenovani, ker niso bili pooblaščeni javno govoriti o zadevi.
Tukaj se prijavite na naše tedensko glasilo o kibernetski varnosti Cyber Bulletin.
Obseg izgube podatkov, o katerem poroča Resecurity, poudarja naraščajoče tveganje, s katerim se soočajo podjetja zaradi svoje odvisnosti od tretjih oseb, ki hranijo podatke in opremo IT ter pomagajo njihovim omrežjem doseči svetovne trge. Varnostni strokovnjaki pravijo, da je to vprašanje še posebej pereče na Kitajskem, ki od korporacij zahteva sodelovanje z lokalnimi ponudniki podatkovnih storitev.
"To je nočna mora, ki čaka, da se zgodi," je dejal Michael Henry, nekdanji glavni informacijski uradnik za Digital Realty Trust Inc., enega največjih operaterjev podatkovnih centrov v ZDA, ko je Bloomberg povedal o incidentih. (Incidenta nista vplivala na Digital Realty Trust). Najslabši možni scenarij za katerega koli operaterja podatkovnega centra je, da napadalci nekako dobijo fizični dostop do strežnikov strank in namestijo zlonamerno kodo ali dodatno opremo, je dejal Henry. "Če jim to uspe, lahko potencialno motijo komunikacije in trgovino v velikem obsegu."
GDS in STT GDC sta povedala, da nimata znakov, da bi se kaj takega zgodilo, in da to ni vplivalo na njihove osnovne storitve.
Hekerji so imeli dostop do poverilnic za prijavo več kot leto dni, preden so jih prejšnji mesec objavili za prodajo na temnem spletu za 175,000 dolarjev, pri čemer so rekli, da so preobremenjeni z njihovo količino, poroča Resecurity in posnetek zaslona objave, ki ga je pregledal Bloomberg. .
"Uporabil sem nekaj tarč," so hekerji zapisali v objavi. "Ampak tega ne morem obvladati, saj je skupno število podjetij več kot 2,000."
E-poštni naslovi in gesla bi lahko hekerjem omogočili, da se maskirajo v pooblaščene uporabnike na spletnih mestih za pomoč uporabnikom, poroča Resecurity. Varnostno podjetje je predpomnilnike podatkov odkrilo septembra 2021 in dejalo, da je tudi našlo dokaze, da so jih hekerji uporabljali za dostop do računov strank GDS in STT GDC, še januarja, ko sta oba operaterja podatkovnih centrov po navedbah Resecurity prisilila ponastavitev gesel strank.
Tudi brez veljavnih gesel bi bili podatki še vedno dragoceni - hekerjem bi omogočili ustvarjanje ciljno usmerjenih lažnih e-poštnih sporočil proti ljudem z dostopom na visoki ravni do omrežij njihovih podjetij, poroča Resecurity.
Večina prizadetih podjetij, s katerimi je Bloomberg News stopil v stik, vključno z Alibabo, Amazonom, Huaweijem in Walmartom, ni hotela komentirati. Apple ni odgovoril na sporočila, ki so zahtevala komentar.
V izjavi je Microsoft dejal: "Redno spremljamo grožnje, ki bi lahko vplivale na Microsoft, in ko so odkrite morebitne grožnje, sprejmemo ustrezne ukrepe za zaščito Microsofta in naših strank." Tiskovni predstavnik Goldman Sachsa je dejal: "Vzpostavili smo dodatne kontrole za zaščito pred tovrstnimi kršitvami in zadovoljni smo, da naši podatki niso bili ogroženi."
Proizvajalec avtomobilov BMW je dejal, da se zaveda težave. Toda tiskovni predstavnik podjetja je dejal: "Po oceni ima težava zelo omejen vpliv na podjetja BMW in ni povzročila nobene škode strankam BMW in informacijam, povezanim z izdelki." Tiskovni predstavnik je dodal: "BMW je GDS pozval, naj izboljša raven varnosti informacij."
GDS in STT GDC sta dva največja azijska ponudnika storitev »kolokacije«. Delujejo kot najemodajalci in najemajo prostor v svojih podatkovnih centrih strankam, ki tam namestijo in upravljajo svojo IT opremo, običajno zato, da so bližje strankam in poslovnim operacijam v Aziji. GDS je med tremi najboljšimi ponudniki kolokacij na Kitajskem, drugem največjem trgu za to storitev na svetu za ZDA, po podatkih Synergy Research Group Inc. Singapur je na šestem mestu.
Podjetja so tudi prepletena: dokumentacija podjetja kaže, da je leta 2014 Singapore Technologies Telemedia Pte, matična družba STT GDC, pridobila 40-odstotni delež v GDS.
Glavni izvršni direktor varnostne službe Gene Yoo je dejal, da je njegovo podjetje odkrilo incidente leta 2021, potem ko se je eden od njegovih operativcev pod krinko infiltriral v hekersko skupino na Kitajskem, ki je napadla vladne cilje na Tajvanu.
Kmalu zatem je po Yooju in dokumentih opozoril GDS in STT GDC ter majhno število prizadetih strank Resecurity.
Resecurity je ponovno obvestil GDS in STT GDC januarja, potem ko je odkril, da so hekerji dostopali do računov, in varnostno podjetje je takrat opozorilo tudi oblasti na Kitajskem in v Singapurju, glede na Yoo in dokumente.
Oba operaterja podatkovnih centrov sta povedala, da sta se nemudoma odzvala, ko sta bila obveščena o varnostnih težavah, in začela notranje preiskave.
Cheryl Lee, tiskovna predstavnica agencije za kibernetsko varnost Singapurja, je dejala, da je agencija "seznanjena z incidentom in pomaga ST Telemediji pri tej zadevi." Nacionalna računalniška mreža Emergency Response Technical Team/Coordination Center of China, nevladna organizacija, ki skrbi za kibernetski odziv na nujne primere, se ni odzvala na sporočila, ki so zahtevala komentar.
GDS je priznal, da je prišlo do vdora v spletno stran za podporo strankam, in dejal, da je leta 2021 raziskal in odpravil ranljivost na spletnem mestu.
"Aplikacija, ki je bila tarča hekerjev, je po obsegu in informacijah omejena na nekritične storitvene funkcije, kot so izstavljanje zahtevkov za izdajo vozovnic, načrtovanje fizične dostave opreme in pregledovanje poročil o vzdrževanju," je zapisano v izjavi podjetja. »Zahteve prek aplikacije običajno zahtevajo spremljanje in potrditev brez povezave. Glede na osnovno naravo aplikacije kršitev ni povzročila nobene grožnje IT-operacijam naših strank.«
STT GDC je dejal, da je privabil zunanje strokovnjake za kibernetsko varnost, ko je izvedel za incident leta 2021. "Zadevni IT sistem je orodje za izdajanje vstopnic za storitve za stranke" in "nima povezave z drugimi sistemi podjetja ali nobene kritične podatkovne infrastrukture," je sporočilo podjetje. .
Družba je sporočila, da leta 2021 ni prišlo do vdora v njegov portal za pomoč strankam in da so poverilnice, ki jih je pridobila Resecurity, »delni in zastareli seznam uporabniških poverilnic za naše aplikacije za prodajo vstopnic strankam. Vsi taki podatki so zdaj neveljavni in v prihodnosti ne predstavljajo varnostnega tveganja.«
"Ni bilo opaziti nobenega nepooblaščenega dostopa ali izgube podatkov," je v skladu z izjavo STT GDC.
Ne glede na to, kako so hekerji morda uporabili informacije, strokovnjaki za kibernetsko varnost pravijo, da kraje kažejo, da napadalci raziskujejo nove načine za infiltracijo v trde tarče.
Fizična varnost opreme IT v podatkovnih centrih tretjih oseb in sistemi za nadzor dostopa do nje predstavljajo ranljivosti, ki jih varnostni oddelki podjetij pogosto spregledajo, je dejal Malcolm Harkins, nekdanji vodja ponudbe za varnost in zasebnost Intel Corp. Kakršen koli poseg v podatkovni center oprema "bi lahko imela uničujoče posledice," je dejal Harkins.
Hekerji so pridobili e-poštne naslove in gesla za več kot 3,000 ljudi v GDS - vključno z lastnimi zaposlenimi in zaposlenimi njegovih strank - in več kot 1,000 od STT GDC, glede na dokumente, ki jih je pregledal Bloomberg News.
Hekerji so ukradli tudi poverilnice za omrežje GDS z več kot 30,000 nadzornimi kamerami, od katerih se je večina zanašala na preprosta gesla, kot sta »admin« ali »admin12345«, kažejo dokumenti. GDS ni naslovil vprašanja o domnevni kraji poverilnic za omrežje kamer ali o geslih.
Število poverilnic za prijavo na spletna mesta za podporo strankam se razlikuje za različne stranke. Po podatkih je bil na primer 201 račun pri Alibabi, 99 pri Amazonu, 32 pri Microsoftu, 16 pri Baidu Inc., 15 pri Bank of America Corp., sedem pri Bank of China Ltd., štirje pri Appleu in tri pri Goldmanu. dokumente. Yoo iz Resecurity je dejal, da hekerji potrebujejo le en veljaven e-poštni naslov in geslo za dostop do računa podjetja na portalu za pomoč strankam.
Med drugimi podjetji, katerih podatki za prijavo delavcev so bili pridobljeni, glede na Resecurity in dokumente, so bili: Bharti Airtel Ltd. v Indiji, Bloomberg LP (lastnik Bloomberg News), ByteDance Ltd., Ford Motor Co., Globe Telecom Inc. na Filipinih, Mastercard Inc., Morgan Stanley, Paypal Holdings Inc., Porsche AG, SoftBank Corp., Telstra Group Ltd. v Avstraliji, Tencent Holdings Ltd., Verizon Communications Inc. in Wells Fargo & Co.
V izjavi je Baidu dejal: »Ne verjamemo, da so bili kakršni koli podatki ogroženi. Baidu posveča veliko pozornosti zagotavljanju varnosti podatkov naših strank. Pozorno bomo spremljali zadeve, kot je ta, in ostali pozorni na morebitne nastajajoče grožnje varnosti podatkov v katerem koli delu našega delovanja.«
Predstavnik Porscheja je dejal: "V tem konkretnem primeru nimamo znakov, da bi obstajalo kakršno koli tveganje." Predstavnik SoftBank je dejal, da je kitajska podružnica lani prenehala uporabljati GDS. "Nobeno uhajanje podatkov o strankah iz lokalnega kitajskega podjetja ni bilo potrjeno, niti ni bilo nobenega vpliva na njegovo poslovanje in storitve," je dejal predstavnik.
Tiskovni predstavnik Telstre je dejal: »Ne vemo, da bi ta kršitev vplivala na poslovanje,« medtem ko je predstavnik Mastercarda dejal: »Čeprav še naprej spremljamo to situacijo, se ne zavedamo nobenih tveganj za naše poslovanje ali vpliva na naše transakcijsko omrežje ali sisteme.«
Predstavnik Tencenta je dejal: »Ne vemo, da bi ta kršitev vplivala na poslovanje. Naše strežnike znotraj podatkovnih centrov upravljamo neposredno, pri čemer operaterji podatkovnih centrov nimajo dostopa do podatkov, shranjenih na strežnikih Tencent. Po preiskavi nismo odkrili nobenega nepooblaščenega dostopa do naših IT-sistemov in strežnikov, ki ostajajo varni in zaščiteni.«
Tiskovni predstavnik podjetja Wells Fargo je dejal, da je uporabljalo GDS za rezervno IT infrastrukturo do decembra 2022. "GDS ni imel dostopa do podatkov, sistemov ali omrežja Wells Fargo," so sporočili iz podjetja. Druga podjetja so zavrnila komentiranje ali pa se niso odzvala.
Yoo iz Resecurity je povedal, da je januarja tajni operativec njegovega podjetja od hekerjev zahteval predstavitev, ali imajo še vedno dostop do računov. Hekerji so zagotovili posnetke zaslona, ki prikazujejo, kako se prijavljajo v račune za pet podjetij in krmarijo na različne strani na spletnih portalih GDS in STT GDC, je dejal. Varnost je Bloomberg Newsu dovolila pregled teh posnetkov zaslona.
Pri GDS so hekerji dostopali do računa za China Foreign Exchange Trade System, vejo kitajske centralne banke, ki ima ključno vlogo v gospodarstvu te države, saj upravlja glavno vladno platformo za trgovanje z devizami in dolgovi, glede na posnetke zaslona in Resecurity. Organizacija se na sporočila ni odzvala.
Na STT GDC so hekerji dostopali do računov National Internet Exchange of India, organizacije, ki povezuje internetne ponudnike po vsej državi, in treh drugih s sedežem v Indiji: MyLink Services Pvt., Skymax Broadband Services Pvt. in Logix InfoSecurity Pvt., posnetki zaslona kažejo.
Indijska nacionalna internetna borza je v stiku z Bloombergom sporočila, da ni seznanjena z incidentom, in zavrnila nadaljnje komentarje. Nobena druga organizacija v Indiji se ni odzvala na zahteve za komentar.
Na vprašanje o trditvi, da so hekerji januarja še vedno dostopali do računov z ukradenimi poverilnicami, je predstavnik GDS dejal: »Pred kratkim smo zaznali več novih napadov hekerjev, ki uporabljajo stare informacije o dostopu do računa. Za blokiranje teh napadov smo uporabili različna tehnična orodja. Doslej nismo našli nobenega novega uspešnega vloma hekerjev, ki bi bil posledica ranljivosti našega sistema.”
Predstavnik GDS je dodal: »Kot vemo, ena sama stranka ni ponastavila enega od svojih gesel računa za to aplikacijo, ki je pripadala njihovemu bivšemu uslužbencu. To je razlog, zakaj smo pred kratkim vsem uporabnikom vsilili ponastavitev gesla. Menimo, da je to osamljen dogodek. To ni posledica hekerjev, ki so vdrli skozi naš varnostni sistem.«
STT GDC je dejal, da je januarja prejel obvestilo o nadaljnjih grožnjah portalom storitev za stranke v "naših regijah Indije in Tajske." "Naše dosedanje preiskave kažejo, da ni prišlo do izgube podatkov ali vpliva na katerega koli od teh portalov za pomoč uporabnikom," so sporočili iz podjetja.
Konec januarja, potem ko sta GDS in STT GDC spremenila gesla strank, je Resecurity opazil hekerje, ki so objavljali zbirke podatkov za prodajo na temnem spletnem forumu v angleščini in kitajščini, poroča Yoo.
"DB vsebujejo podatke o strankah, lahko se uporabljajo za lažno predstavljanje, dostop do omar, spremljanje naročil in opreme, naročila na daljavo," je navedeno v objavi. "Kdo lahko pomaga pri ciljanem lažnem predstavljanju?"
Najbolj brano iz Bloombergovega poslovnega tedna
© 2023 Bloomberg LP
Vir: https://finance.yahoo.com/news/hackers-scored-data-center-logins-020028440.html